Hello,
 
  J'ai une petite problèmatique au boulot.
 
  Un de nos clients veut nous obliger à utiliser une solution VPN pour accéder à leurs ressources (Webservices, Base AS400, EAI), alors qu'on préconisait plus une solution du type connexion SSH+tunnels.
 
  Le problème c'est que lorsqu'on se connecte à leur VPN, la machine va être déconnecté du réseau local, et nous n'avons pas que ce client a gérer, on a besoin d'accèder a nos ressources locals. (la solution ssh+tunnels avait cette avantage qu'on avait encore accès a notre réseau local)
 
  En gros la question : est ce qu'on peut se connecter en VPN et conserver l'accès a nos ressources local ? Est ce que ca peut etre du paramétrage coté serveur (ou client, mais j'en doute)
 
  Est ce que le fait qu'on ait plus accès a nos ressources local est juste un problème DNS/réseau (on change de plan d'adressage et de méthode de résolution, et du coup, on ne trouve plus les ressources local) ou la connexion VPN bloque sciemment la partie local? je pencherais plutot vers la seconde hypothèse.
 
  Sinon, est ce que l'ajout d'une seconde interface réseau sur la machine pourrait résoudre le problème ?  
 
Merci,
Paquerette !
 
 

Si la solution VPN de ton client est basée sur SSL y a pas de problème.
 
Sinon il y a un mécanisme dit de "split tunneling" qui permet de garder tes accès à tes ressources locales tout en étant connecté en VPN. Il faut en faire la demande à ton partenaire

faudrait préciser de quel type de vpn on parle.

Hello merci pour l'info sur le split tunneling.
 
Je n'ai pas encore l'info sur le type de tunnel, je reposterais quand j'aurais plus d'info.

Ben tu te connectes comment en vpn ?
Si c'est via le client cisco, c'est de l'ipsec, si tu passes par un portail ou un client anyconnect c'est du ssl.

En fait, c'est pas encore en place chez notre client, d'ou le : je ne sais pas encore.
 
Vu qu'ils ont une solution a base de Juniper pour faire du TSE via une page web, ca sera peut être du Juniper... je re-posterais quand j'en serais un peu plus...
 
 
Une des solutions qu'on envisage, c'est de facturer à ce client de nouvelles machines :  
1/ soit une bête de course par personne, on monte une machine virtuelle et on utilise cette machine virtuelle pour se connecter en VPN  (et bosser) en utilisant le client standard de l'émulateur.
2/ soit une machine moins puissante + KVM, mais c'est moins pratique.
 
En tout cas, ca nous embête bien cette histoire (pour rester poli), ssh+tunnel (ou stunnel) ca aurait été plus simple et moins couteux pour les 2 partis...
 
Paquerette.

s'ils ont des boitiers juniper qui font du TSE via le navigateur, ils doivent aussi faire du VPN SSL et sont capables de faire du split tunneling. Donc tu as la solution pour zero euro vu que visiblement ton client est deja équipé de ce qu'il faut et que de ton coté tu n'as rien a installer sur ton serveur, c'est tout l'avantage du VPN SSL

Oki,
 
 le souci c'est que le RSSI est du genre psycho rigide, du coup pas sur qu'il autorise le split tunneling. C'est pour ca qu'a la base en fait ma question est de savoir si, contre la volonté du serveur, on peut avoir accès au ressources locals (ce qui parait impossible facillement).
 
C'est pour ca que le coup de la VMware ou du kvm me paraissait une solution viable...
 
Paquerette

C'est son boulot, par définition...

héhé,  
 
a ce moment la, on devrait débrancher tout les serveurs, plus aucune intrusion possible... et on ne fait rien... oui mais c'est sécure et écologique avec ca ...
 
Je comprends bien les problématique de sécurité, mais il faut un équilibre...